29.09.2015 13:23
ptsecurity 22 18334 Источник


Если злоумышленники украдут пароль человека, то его можно сменить, однако если похищены отпечатки пальцев, это открывает широкий простор для совершения преступлений против конкретного гражданина на протяжении всей его жизни. Об этом, в частности, в своем недавнем интервью говорил исследователь Карстен Ноль (мы публиковали выдержки из него в блоге на Хабре). Теперь этот тезис получил еще одно подтверждение.

В начале лета 2015 года стало известно о том, что неизвестные злоумышленники осуществили атаку на Управление кадровой службы США (US Office of Personnel Management, OPM) и похитили личные данные более 21 миллионов американских госслужащих. Теперь Управление призналось в том, что среди украденной информации содержались и отпечатки пальцев 5,6 млн служащих.

Представители американских спецслужб, расследующих инцидент, ранее заявляли о том, что подозревают в атаке хакеров из Китая. Управление кадровой службы США является HR-департаментом федерального правительства страны. Это значит, что в руках злоумышленников могли оказаться отпечатки пальцев весьма высокопоставленных госслужащих.

В специальном заявлении предcтавители OPM заявили о том, что возможности для неправомерного использования хакерами украденных данных на данный момент ограничены. Однако с течением времени этот риск может увеличиться в виду, к примеру, более широкого внедрения механизмов биометрической аутентификации в системы безопасности государственных сервисов.



При этом, жертвы утечки начали получать уведомления о том, что их данные были похищены, только в конце сентября, хотя Управление кадровой службы еще летом наняло фирму, которая будет заниматься защитой финансовых данных госслужащих.

Как можно использовать чужие отпечатки? Исследователи безопасности из Chaos Computer Club еще осенью 2013 года продемонстрировали, как легко обойти систему биометрической идентификации TouchID на популярных устройствах компании Apple. Получив чужой отпечаток пальца, немецкие хакеры с помощью несложной техники изготовили «искусственный палец» и разблокировали iPhone 5s, защищенный с помощью TouchID (видео).

Спустя год, зимой 2014 года на форуме 31C3 та же команда представила доклад об удаленном получении биометрик — например, по фотографии. Таким образом, теперь хакерам даже не нужно «снимать пальчики» со стаканов жертвы, достаточно снимка с высоким разрешением. Ниже видео (на немецком) об этой технике, с помощью которой исследователи получили отпечатки первых лиц государства:

Комментарии (22)


  1. romy4
    29.09.2015 18:38
    #8595449
    +4

    Хм, а я думал хранятся только какие-то хитрые хэши результатов алгоритмов, которые получаются путём оцифровки скана пальца. Реально хранились bitmap-ы отпечатков?


    1. datacompboy
      29.09.2015 18:54
      #8595467
      +1

      Отпечаток нельзя использовать для человеческой дактилоскопии


    1. Alexufo
      29.09.2015 19:44
      #8595517
      -2

      Как бэ хеши для поиска, да. Но в случае каких то проволочек человек в ручную принимает решение о том принадлежит ли данный отпечаток текущему человеку или нет. Поэтому картинку тож сохраняют.


      1. Blumfontein
        30.09.2015 07:03
        #8595887

        Мне кажется, в случае проволочек вручную документы будут проверять.


        1. Alexufo
          30.09.2015 07:50
          #8595909

          в случае проволочек с идентификацией по пальцу, например когда находится несколько лиц с очень схожим отпечатком. Потому рекомендуют держать копию отпечатка для эксперта.


  1. dcc0
    29.09.2015 20:11
    #8595545

    Об уязвимости медицинского оборудования для хакеров:
    http://www.bbc.com/news/technology-34390165


    1. ptsecurity
      29.09.2015 20:30
      #8595559

      Ну, это немножечко уже баян. Исследование Скотта Эрвина опубликовано весной 2014 года. Мы писали о нём в обзоре уязвимостей оздоровительных гаджетов (в самом конце, где про взлом дефибрилляторов):
      habrahabr.ru/company/pt/blog/246855


      1. dcc0
        30.09.2015 10:14
        #8596033

        Опубликовано на BBC за 4 часа до моего перепоста. Т.е. Вы считаете, что донесли эту информацию в статье с заголовком «Bluetooth и другие способы взлома наручников»?
        Т.е. Вы абсолютно убеждены, что абсолютно все русскоязычные пользователи читают блог вашей компании?


        1. ptsecurity
          01.10.2015 14:30
          #8597621

          Мы абсолютно убеждены, что исследование Скотта Эрвина опубликовано весной 2014 года, а сейчас — осень 2015-го.

          Если вас расстраивает такой пруф, как наш блог — можете почитать прошлогодний Wired, там гораздо подробнее, чем в BBC:
          www.wired.com/2014/04/hospital-equipment-vulnerable

          Ничего личного, просто мы предпочитаем добираться до первоисточников с подробностями. А сайт BBC в этом смысле — не лучший источник. Примерно как российские «Известия».


          1. dcc0
            02.10.2015 12:58
            #8598589

            Это похвально, что при современных объемах информации у вас есть возможность заниматься столь глубокими исследованиями.


  1. fshp
    30.09.2015 03:34
    #8595845
    +4

    Теперь для кражи айфона не нужно отрубать пальцы.


    1. PavelMSTU
      02.10.2015 12:35
      #8598535

      Несколько лет назад на лекции по ОИБ (основам информационной безопасности) мой сосед по парте спросил: «А что если отрезать палец?»
      Лектор многозначительно задумался и с самым серьезным видом ответил: «Хм… Вполне разумное решение. Только при использовании нужно не забыть отрезанный палец нагреть»…


  1. PavelMSTU
    30.09.2015 11:10
    #8596085
    -5

    Да… Наверное этим летом поеду не в Испанию (шенген), а в Сербию…


    1. tyomitch
      30.09.2015 15:03
      #8596341
      +2

      Держите нас в курсе.


      1. ChiefPilot
        01.10.2015 15:41
        #8597669
        +1

        Возможно человек просто имел ввиду, что для получения шенгенской визы теперь требуется сдавать свои отпечатки, и он боится аналогичной их утечки уже из таможенных сервисов?


        1. tyomitch
          01.10.2015 16:10
          #8597709

          Мой знакомый россиянин, получавший шенгенскую визу пару месяцев назад, говорит, что никто у него не требовал сдавать отпечатки.


          1. ChiefPilot
            01.10.2015 18:02
            #8597919
            +2

            Эти правила вступили в силу буквально «на днях». Два месяца это большой срок.

            P.S.: Пишут, что с 14 сентября.


            1. PavelMSTU
              02.10.2015 12:23
              #8598505

              Именно это я и имел в виду ;)…
              Вообще, если честно, мне не понятно: если есть такое желание использовать биоидентификацию, то почему бы не использовать голос человека? ЦРТ, NICE

              Голосом можно попросить прочитать какую-нибудь строчку, а с помощью разпознавания речи понять, является ли голос корректным…


              1. ChiefPilot
                02.10.2015 12:32
                #8598523

                Может быть потому, что распознавание голоса всё-таки сильно менее надёжно, чем отпечатки? Я совершенно не в курсе, но может быть голос менее индивидуален и уникален, чем отпечатки?


                1. PavelMSTU
                  02.10.2015 12:38
                  #8598545

                  ChiefPilot, палец можно подделать — пленочка на пальчик и дело в шляпе.
                  Снять отпечаток пальца плевое дело: нужно просто дать в руки бокал вина и все!

                  С голосом труднее, есть технологии, которые даже искаженный голос с 99% вероятностью определяют.
                  Конечно тут тоже есть игра, как в криптографии и стеганографии.
                  Я профан в данных вопросах, но знаю, что в бизнесе голос употребляют. Например в колл центрах…


  1. TimsTims
    30.09.2015 13:03
    #8596199

    их данные были похищены, только в конце сентября, хотя Управление кадровой службы еще летом наняло фирму, которая будет заниматься защитой


    Ну логично было предположить, что наняли такую фирму, в которой крот и завелся. Фирму наняли — следом слив. Вывод напрашивается сам собой


  1. pak63
    30.09.2015 15:06
    #8596353

    CIA pulled officers from Beijing after breach of federal personnel records